Robinhood’dan gelen e-postalara dikkat! Sahte e-postalar nasıl tespit edilir?

Robinhood kullanıcıları, bu hafta sonu şirketten geldiği izlenimi veren son derece ikna edici sahte e-postalar aldı. Mesajlar, doğrulanmış başlıklar ve doğru imzalar taşıyordu. Geçerli bir gönderici adresi içeriyor ve gerçek bir e-posta sunucusundan gönderiliyordu. Ayrıca spam filtrelerinden de geçmeyi başardı.

Dahası, [email protected] adresinden gönderilen e-posta, Gmail’in otomatik olarak Robinhood’dan gelen önceki güvenlik uyarılarıyla aynı sohbet dizisine dahil edildi. E-postanın tek sahte yanı, teknik düzensizlikler ve kullanıcı bilgilerini çalmayı hedefleyen bir bağlantı içermesiydi.

Saldırı nasıl gerçekleşti?

Güvenlik araştırmacısı Abdel Sabbah, saldırıyı analiz ederek olayı “biraz güzel” olarak nitelendirdi — ancak bu ifadeyi karanlık bir anlamda kullandı. Saldırgan, ilk olarak Gmail’in “nokta hilesi” olarak bilinen bir özelliğini kullandı. Bu özellik sayesinde, [email protected], [email protected] ve [email protected] adreslerine gönderilen e-postalar aynı gelen kutusuna ulaşır. Gmail, @ sembolünden önceki kısımda yer alan noktalara dikkat etmezken, Robinhood bu normalizasyonu yapmıyordu.

Saldırgan, Robinhood’un meşru müşteri e-posta adreslerinin noktalı varyasyonlarını kullanarak yeni bir hesap oluşturdu. Ardından, cihaz adını ham HTML kod bloğu olarak ayarladı. Robinhood’un “tanınmayan aktivite” e-postası oluşturulduğunda, şablon cihaz adını doğrulamadan ekledi ve böylece zararlı HTML kodunu çalıştırdı.

Sonuç olarak, e-posta “[email protected] adresinden, DKIM, SPF ve DMARC doğrulamalarını geçen, sahte bir güvenlik uyarısı” olarak göründü. Bu e-postada yer alan bağlantı, kullanıcıların giriş bilgilerini ve iki faktörlü kimlik doğrulama kodlarını çalmayı hedefliyordu. Tıpkı diğer phishing saldırılarında olduğu gibi, nihai amaç kullanıcıların paralarını çalmaktı.

Benzer saldırılar geçmişte de yaşandı

Nisan 2025’te Ethereum Name Service’in baş geliştiricisi Nick Johnson, Google’dan geldiği izlenimi veren neredeyse aynı saldırıyı belgeledi. Saldırganlar, Google’ın altyapısını kullanarak [email protected] adresinden DKIM imzalı sahte e-postalar gönderdi. Bu olay, e-postalardaki bağlantılara tıklamadan önce dikkatli olunması gerektiğini bir kez daha gösterdi.

Uzmanlardan uyarılar

Birçok kripto etkileyicisi, kullanıcıları ikna edici e-postalara karşı uyardı. Ripple’in CTO’su David Schwartz, “Robinhood’dan geldiği izlenimi veren her e-posta phishing girişimidir” şeklinde bir paylaşım yaptı. Schwartz, saldırının ne kadar kurnazca olduğunu vurguladı.

Korunmak için neler yapılabilir?

• E-postalardaki bağlantılara tıklamadan önce gönderen adresini ve alan adını dikkatlice kontrol edin.
• Gelen e-postaların doğruluğundan şüphe duyduğunuzda, doğrudan Robinhood’un resmi web sitesi veya uygulaması üzerinden giriş yapın.
• İki faktörlü kimlik doğrulama kodlarını asla paylaşmayın.
• Şüpheli e-postaları Robinhood’a bildirin.

Sonuç olarak, ne kadar gerçekçi görünürse görünsün, her e-postadaki bağlantıya tıklamadan önce dikkatli olun. Geleneksel phishing önleme yöntemleri bu saldırıda işe yaramadı, bu yüzden kullanıcıların daha dikkatli olması gerekiyor.